Zakonom o kibernetičkoj sigurnosti u nacionalno zakonodavstvo prenesena je EU NIS2 direktiva (Direktiva (EU) 2022/2555 o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije).
Zakon uspostavlja novi sustav upravljanja kibernetičkom sigurnošću, definira nadležna tijela u području kibernetičke sigurnosti i njihove zadaće i ovlasti.
Zakonom se utvrđuju sektori, podsektori i vrste subjekata među kojima će se kategorizirati subjekti koji će morati provoditi mjere upravljanja kibernetičkim sigurnosnim rizicima i imati obvezu prijavljivanja značajnih kibernetičkih incidenata.
Također, Zakonom o kibernetičkoj sigurnosti uspostavlja se okvir strateškog planiranja u području kibernetičke sigurnosti te utvrđuje nacionalni okvir upravljanja kibernetičkim incidentima velikih razmjera i kibernetičkim krizama.
Obveznici Zakona o kibernetičkoj sigurosti su pravne osobe koje posluju u sektorima i podsektorima iz Priloga I. i Priloga II. Zakona o kibernetičkoj sigurnosti te su kategorizirani kao ključni ili važni subjekti.
Građani i nekategorizirane pravne osobe nisu obveznici Zakona.
Svaka pravna osoba može provjeriti predstavlja li subjekt za koji će se provoditi postupak kategorizacije kroz odgovore na sljedeća pitanja:Također, važno je napomenuti da su predviđene i određene iznimke u vidu kriterija za kategorizaciju neovisno o veličini subjekta (npr. pružatelji usluga povjerenja).
Sve obveze iz Zakona, kategorizirani subjekti primjenjuju tek nakon zaprimanja službene Obavijesti o provedenoj kategorizaciji od nadležnog tijela.
Upravljanje uslugama informacijsko-komunikacijske tehnologije (IKT), u kontekstu Zakona o kibernetičkoj sigurnosti podrazumijeva usluge koje pravne osobe daju drugim pravnim osobama (B2B), koje mogu biti javni ili privatni subjekti prema definiciji iz Zakona. Pri tome se razlikuju dvije grupe usluga, odnosno pružatelja usluga, upravljane usluge i upravljane sigurnosne usluge.
Upravljane usluge odnose se u širem smislu na IKT te obuhvaćaju različite usluge koje se sastoje od upravljanja mrežnim i informacijskim sustavima na razini cijelog sustava, ili na nekim segmentima mrežnog i informacijskog sustava, kao što je podrška u održavanju pojedinih vrsta poslužitelja, određene vrste mrežne opreme, pojedinih aplikacijskih sustava i sl. Pri tome pružatelji upravljanih usluga koriste pristup u fizičke prostore gdje je IKT oprema instalirana i/ili pristupaju određenoj IKT opremi daljinski, a pri čemu redovito koriste visoke razine privilegija za pristup IKT sustavu, koje su potrebne za obavljanje ovakvih upravljanih usluga.
Upravljane sigurnosne usluge također se odnose na IKT, ali na uži segment sigurnosti IKT-a, pri čemu pružatelj upravljanih sigurnosnih usluga provodi ili pruža pomoć u aktivnostima povezanim s upravljanjem kibernetičkim sigurnosnim rizicima. Radi se o područjima upravljanja kao što su odgovor na incidente, penetracijska testiranja, revizije sigurnosti ili različite vrste savjetovanja povezanog s tehničkom potporom ili upravljanjem kibernetičkim sigurnosnim rizicima, u kojima pružatelji upravljanih sigurnosnih usluga imaju posebno važnu ulogu u pomaganju subjektima u njihovim nastojanjima da spriječe i otkriju incidente te odgovore na njih ili se oporave od njih.
Pružatelji upravljanih usluga i upravljanih sigurnosnih usluga i sami su mete kibernetičkih napada te predstavljaju poseban kibernetički sigurnosni rizik zbog svoje bliske integracije u rad svojih klijenata. Stoga svi davatelji upravljanih usluga i upravljanih sigurnosnih usluga, koji takve usluge daju kategoriziranim ključnim i važnim subjektima u smislu Zakona, moraju i sami biti kategorizirani kao ključni ili važni subjekti (Uredba o kibernetičkoj sigurnosti, članak 11.).
Obveznici Zakona o kibernetičkoj sigurnosti dužni su provoditi zahtjeve kibernetičke sigurnosti koji se sastoje od:
Također, ključni i važni subjekti dužni su periodično provjeravati usklađenost mjera upravljanja kibernetičkim rizicima koje su uspostavili u svom subjektu s propisanim mjerama upravljanja kibernetičkim sigurnosnim rizicima. U tom smislu, ključni subjekti dužni su provoditi revizije kibernetičke sigurnosti, a važni subjekti dužni su provoditi samoprocjene kibernetičke sigurnosti.
Zakon o kibernetičkoj sigurnosti definira ukupno 19 sektora i 15 podsektora među kojima se kategoriziraju subjekti. Prilogom III. Zakona određuje se podjela nadležnosti u području kibernetičke sigurnosti, odnosno nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti i nadležni CSIRT-ovi za sektore, podsektore i vrste subjekata kako je navedeno niže u tablici.
Nacionalni centar za kibernetičku sigurnost predstavlja nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti za 14 sektora i 14 podsektora, a nadležni CSIRT za 15 sektora i 15 podsektora.
POPIS NADLEŽNOSTI U PODRUČJU KIBERNETIČKE SIGURNOSTI
| SEKTORI | PODSEKTORI | NADLEŽNO TIJELO | CSIRT |
|---|---|---|---|
| ENERGETIKA | Električna energija | NCSC-HR | NCSC-HR |
| Centralizirano grijanje i hlađenje | |||
| Nafta | |||
| Plin | |||
| Vodik | |||
| PROMET | Željeznički promet | NCSC-HR | NCSC-HR |
| Vodeni promet | |||
| Cestovni promet | |||
| Zračni promet | HACZ | NCSC-HR | |
| BANKARSTVO | HNB | NCERT | |
| FINANCIJE | HANFA | NCERT | |
| ZDRAVSTVO | NCSC-HR | NCSC-HR | |
| VODA ZA LJUDSKU POTROŠNJU | NCSC-HR | NCSC-HR | |
| OTPADNE VODE | NCSC-HR | NCSC-HR | |
| DIGITALNA INFRASTRUKTURA | NCSC-HR MZOM MPUDT HAKOM |
NCSC-HR NCERT |
|
| UPRAVLJANJE USLUGAMA IKT-A (B2B) | NCSC-HR | NCSC-HR | |
| JAVNI SEKTOR | UVNS | NCSC-HR | |
| SVEMIR | NCSC-HR | NCSC-HR | |
| POŠTANSKE I KURIRSKE USLUGE | NCSC-HR | NCSC-HR | |
| GOSPODARENJE OTPADOM | NCSC-HR | NCSC-HR | |
| IZRADA, PROIZVODNJA i DISTRIBUCIJA KEMIKALIJA | NCSC-HR | NCSC-HR | |
| PROIZVODNJA, PRERADA I DISTRIBUCIJA HRANE | NCSC-HR | NCSC-HR | |
| PROIZVODNJA | Proizvodnja medicinskih proizvoda i in vitro dijagnostičkih medicinskih proizvoda | NCSC-HR | NCSC-HR |
| Proizvodnja računala te elektroničkih i optičkih proizvoda | |||
| Proizvodnja električne opreme | |||
| Proizvodnja strojeva i uređaja d.n. | |||
| Proizvodnja motornih vozila, prikolica i poluprikolica | |||
| Proizvodnja ostalih prijevoznih sredstava | |||
| PRUŽATELJI DIGITALNIH USLUGA | NCSC-HR | NCSC-HR | |
| ISTRAŽIVANJE | MZOM | NCERT | |
| SUSTAV OBRAZOVANJA | MZOM | NCERT |
Dodatno, u sektoru digitalne infrastrukture podjela nadležnosti u području kibernetičke sigurnosti definira se prema vrsti subjekta kako je navedeno niže u tablici.
DIGITALNA INFRASTRUKTURA
| SEKTOR | VRSTA SUBJEKTA | NADLEŽNO TIJELO | CSIRT |
|---|---|---|---|
| DIGITALNA INFRASTRUKTURA | Pružatelji središta za razmjenu internetskog prometa | NCSC-HR | NCSC-HR |
| Pružatelji usluga DNS-a, osim operatora korijesnkih poslužitelja naziva | NCSC-HR | NCSC-HR | |
| Registar naziva vršne nacionalne internetske domene | MZOM | NCERT | |
| Pružatelji usluga računalstva u oblaku | NCSC-HR | NCSC-HR | |
| Pružatelji usluga podatkovnog centra | NCSC-HR | NCSC-HR | |
| Pružatelji mreže za isporuku sadržaja | NCSC-HR | NCSC-HR | |
| Pružatelji usluga povjerenja | MPUDT | NCSC-HR | |
| Pružatelji javnih elektroničkih komunikacijskih mreža | HAKOM | NCSC-HR | |
| Pružatelji javno dostupnih elektroničkih komunikacijskih usluga | HAKOM | NCSC-HR |
Zakon o kibernetičkoj sigurnosti definira nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti, nadležna tijela za provedbu posebnih zakona i nadležne CSIRT-ove.
Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti provode kategorizaciju subjekata, vode popise ključnih i važnih subjekata te provode stručni nadzor nad ključnim i važnim subjektima. U poslovima kategorizacije, postupanju u slučaju značajnih incidenata te poslovima stručnog nadzora usko surađuju i koordiniraju svoj rad s tijelima državne uprave nadležnim za pojedini sektor u kojem posluju subjekti iz njihove nadležnosti.
Nadležna tijela za provedbu posebnih zakona osigurat će provedbu zahtjeva kibernetičke sigurnosti prema zakonima koji se također bave pitanjima kibernetičke sigurnosti te koji će se primjenjivati kao jednakovrijedan ili stroži lex specialis na sektor bankarstva, financija i podsektor zračnog prometa. Nadležna tijela za provedbu posebnih zakona su Hrvatska narodna banka (HNB), Hrvatska agencija za nadzor financijskih usluga (HANFA) i Hrvatska agencija za civilno zrakoplovstvo (HACZ).
CSIRT tijela, odnosno nadležna tijela za prevenciju i zaštitu od kibernetičkih incidenata su CSIRT unutar Nacionalnog centra za kibernetičku sigurnost (NCSC-HR) i Nacionalni CERT (CARNET). Nacionalni CERT nadležno je CSIRT tijelo za sektor bankarstva, infrastrukture financijskog tržišta, istraživanja, sustav obrazovanja te za registar naziva vršne nacionalne internetske domene, dok je za ostale sektore, podsektore i vrste subjekata nadležan CSIRT unutar NCSC-HR.
Ključni subjekti dužni su provoditi reviziju kibernetičke sigurnosti najmanje jednom u dvije godine, a moguće je provođenje revizije i prije isteka roka kada to zatraži nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti.
Važni subjekti dužni su provoditi samoprocjenu kibernetičke sigurnosti najmanje jednom u dvije godine, dok su reviziju kibernetičke sigurnosti dužni provesti samo kada to zatraži nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti kao nadzornu mjeru.
Reviziju kibernetičke sigurnosti ključnih i važnih subjekata provode revizori kibernetičke sigurnosti. Revizori su pružatelji upravljanih sigurnosnih usluga kojima je izdan nacionalni sigurnosni certifikat za reviziju kibernetičke sigurnosti ili odgovarajući kibernetički sigurnosni certifikat na temelju mjerodavne europske sheme kibernetičke sigurnosne certifikacije.
Iznimno, revizor kibernetičke sigurnosti za tijela državne uprave i druga državna tijela je Zavod za sigurnost informacijskih sustava (ZSIS) kao središnje državno tijelo za obavljanje poslova u tehničkim područjima informacijske sigurnosti.
Nacionalni sigurnosni certifikat za reviziju kibernetičke sigurnosti izdaje ZSIS u ulozi središnjeg državnog tijela za obavljanje poslova u tehničkim područjima informacijske sigurnosti u postupku i prema zahtjevima koji će biti propisani pravilima sigurnosne certifikacije.
Samoprocjene kibernetičke sigurnosti provodi subjekt s vlastitim ljudskim potencijalima ili za provedbu samoprocjene može angažirati vanjskog davatelja usluge.
Pravila, tehnički zahtjevi, norme, obrasci i postupci koji se primjenjuju u postupcima samoprocjene kibernetičke sigurnosti propisani su Uredbom o kibernetičkoj sigurnosti.
Stručni nadzor provode tijela nadležna za provedbu zahtjeva kibernetičke sigurnosti.
Stručni nadzor nad provedbom zahtjeva kibernetičke sigurnosti nad ključnim subjektom provodi se najmanje jednom u roku tri do pet godina (tzv. ex-ante nadzori). Također, stručni nadzor nad ključnim subjektom provodi se i prije isteka navedenih rokova, ako nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti raspolaže informacijama koje upozoravaju da subjekt ne provodi mjere upravljanja kibernetičkim sigurnosnim rizicima u skladu s propisanim obvezama ili da ne ispunjava obveze vezane uz obavještavanje o kibernetičkim prijetnjama i incidentima na propisani način i u propisanim ili ostavljenim rokovima ili da ne postupa po zahtjevima nadležnih tijela iz Zakona o kibernetičkoj sigurnosti (tzv. ex-post nadzori).
Stručni nadzor nad važnim subjektom provodi se kada nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti raspolaže informacijama koje upozoravaju na to da subjekt ne provodi mjere upravljanja kibernetičkim sigurnosnim rizicima u skladu s propisanim obvezama ili da ne ispunjava obveze vezane uz obavještavanje o kibernetičkim prijetnjama i incidentima na propisani način i u propisanim ili ostavljenim rokovima ili da ne postupa po zahtjevima nadležnih tijela iz Zakona o kibernetičkoj sigurnosti (tzv. ex-post nadzori).
Stručni nadzor se provodi na način da se u nadziranom subjektu obavlja neposredan uvid u podatke, dokumentaciju, uvjete i načine provedbe mjera upravljanja kibernetičkim sigurnosnim rizicima, izvršavanja propisanih obveza obavještavanja o kibernetičkim prijetnjama i incidentima te postupanja po zahtjevima nadležnih tijela.
Također, stručni nadzor se može provesti uvidom u izvješća o provedenim revizijama kibernetičke sigurnosti te po potrebi drugim, dodatno zatraženim i dostavljenim podacima i dokumentaciji nadziranog subjekta.
Nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti dužno je o provedbi stručnog nadzora obavijestiti nadzirani subjekt najkasnije u roku od pet dana prije dana početka nadzora.
Stručni nadzor može biti proveden i bez prethodne obavijesti u slučaju postojanja razloga koji upozoravaju na potrebu za hitnim postupanjem subjekta sa značajnim incidentom ili radi sprečavanja ili ublažavanja rizika koji proizlaze iz ozbiljne kibernetičke prijetnje.
Zakonom o kibernetičkoj sigurnosti uvedeni su dobrovoljni mehanizmi kibernetičke zaštite namijenjeni široj primjeni, odnosno i subjektima koji nisu kategorizirani kao ključni i važni subjekti.
Svaki subjekt, koji nije kategoriziran kao ključni ili važni subjekt po Zakonu o kibernetičkoj sigurnosti, može provoditi samoprocjene kibernetičke sigurnosti za mrežne i informacijske sustave kojima se služi u svom poslovanju ili u pružanju svojih usluga.
Također, može dobrovoljno obavijestiti nadležni CSIRT o svakom značajnom incidentu, ostalim incidentima, kibernetičkim prijetnjama ili izbjegnutim incidentima, pod uvjetom da periodično provodi samoprocjene kibernetičke sigurnosti.
Radi podizanja ukupne sposobnosti i otpornosti u području kibernetičke sigurnosti, središnje državno tijelo za kibernetičku sigurnost kontinuirano razvija nacionalni sustav za otkrivanje kibernetičkih prijetnji i zaštitu kibernetičkog prostora.
Ključni subjekti, važni subjekti i drugi subjekti koji nisu kategorizirani kao ključni ili važni subjekti sukladno ovom Zakonu mogu međusobno dobrovoljno razmjenjivati informacije o kibernetičkoj sigurnosti u svrhu povećanja razine kibernetičke sigurnosti ili postupanja s incidentima.
Posljednje, svaka fizička i pravna osoba može anonimno prijaviti ranjivost CSIRT koordinatoru za otkrivanje ranjivosti.
